Es fing mit dem GUV Trojaner an

Reverent · 13.01.2013, 18:41

Hallo Leute,

ich hoffe ich bin in diesem Unterforum richtig.

Ich lese hier schon den ganzen Tag im Board, aber ich komme nicht weiter.

Zumindet kann ich mich wieder an meinen "Home Server" anmelden.

Ich habe die Datei "wgsdgsdgdsgsd.exe" gefunde und sie erstmal in "wgsdgsdgdsgsd__.exe" umbenannt.

Des weiteren habe ich auch mal in der Registry nach "wgsdgsdgdsgsd.exe" gesucht und diverse Einträge gefunden.

Hier die Log Datei von Malwarebytes:

Zitat:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.13.02

Windows Server 2003 Service Pack 2 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Administrator :: SERVER [Administrator]

Schutz: Deaktiviert

13.01.2012 12:33:52
MBAM-log-2012-01-13 (14-23-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 399966
Laufzeit: 1 Stunde(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\Administrator.SERVER\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Keine Aktion durchgeführt.
I:\Praxis\Computer\KV Projekt\Kundenverwaltung\obj\Debug\Kundenverwaltung.exe (Trojan.MSIL) -> Keine Aktion durchgeführt.
I:\Praxis\Computer\KV Projekt\Kundenverwaltung\bin\Debug\Kundenverwaltung.exe (Trojan.MSIL) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator.SERVER\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Keine Aktion durchgeführt.

(Ende)

Log Datei "OTL.Txt"
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 13.01.2013 18:22:44 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator.SERVER\Eigene Dateien\Downloads
Windows Server 2003 Enterprise Edition Service Pack 2 (Version = 5.2.3790) - Type = NTServer
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,96 Gb Total Physical Memory | 1,14 Gb Available Physical Memory | 58,28% Memory free
3,81 Gb Paging File | 3,06 Gb Available in Paging File | 80,35% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 0,84 Gb Free Space | 4,32% Space Free | Partition Type: NTFS
Drive D: | 54,99 Gb Total Space | 49,33 Gb Free Space | 89,71% Space Free | Partition Type: NTFS
Drive I: | 465,64 Gb Total Space | 450,66 Gb Free Space | 96,78% Space Free | Partition Type: FAT32
 
Computer Name: SERVER | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.13 18:22:33 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.SERVER\Eigene Dateien\Downloads\OTL(1).exe
PRC - [2013.01.13 16:56:39 | 000,335,608 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Server\avgnt.exe
PRC - [2012.12.21 20:46:08 | 000,170,408 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2012.12.19 18:45:25 | 000,916,960 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.12.09 18:28:33 | 000,388,576 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2012.08.15 19:08:34 | 000,231,768 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe
PRC - [2012.06.24 18:47:14 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Server\avguard.exe
PRC - [2012.06.24 18:47:14 | 000,086,736 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Server\sched.exe
PRC - [2012.06.24 18:47:14 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Server\avshadow.exe
PRC - [2012.03.19 20:58:12 | 000,514,128 | ---- | M] (REINER SCT) -- C:\WINDOWS\system32\cjpcsc.exe
PRC - [2011.11.24 14:27:48 | 002,728,193 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\Avmcs.exe
PRC - [2011.11.15 15:44:08 | 000,825,601 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\evmgr.exe
PRC - [2011.11.15 15:41:30 | 001,410,305 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\ium.exe
PRC - [2011.02.23 21:19:22 | 000,371,200 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2007.02.17 06:54:26 | 001,056,768 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.17 06:52:42 | 000,793,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntfrs.exe
PRC - [2007.02.17 06:38:54 | 000,164,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dfssvc.exe
PRC - [2003.05.08 10:00:58 | 000,049,152 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE2.0\opwareSE2.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.19 18:45:22 | 002,397,152 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2012.12.09 18:28:36 | 002,240,992 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\mozjs.dll
MOD - [2012.12.09 18:28:35 | 000,157,664 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldap32v60.dll
MOD - [2012.12.09 18:28:35 | 000,021,984 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldappr32v60.dll
MOD - [2012.06.24 18:47:14 | 000,390,656 | ---- | M] () -- C:\Programme\Avira\AntiVir Server\sqlite3.dll
MOD - [2011.11.24 14:58:38 | 000,126,721 | ---- | M] () -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\scewxmlw.dll
MOD - [2010.06.17 20:56:52 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2007.05.31 06:38:16 | 000,167,936 | ---- | M] () -- C:\WINDOWS\system32\SerialXP.dll
MOD - [2007.02.17 06:39:32 | 000,355,112 | ---- | M] () -- C:\WINDOWS\system32\msjetoledb40.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\DOKUME~1\ADMINI~1.SER\wgsdgsdgdsgsd.exe -- (winmgmt)
SRV - File not found [On_Demand | Stopped] -- winhttp.dll -- (WinHttpAutoProxySvc)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.12.21 20:46:08 | 000,170,408 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.12.19 18:45:22 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.06.28 17:31:12 | 000,692,432 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Auto | Stopped] -- D:\Programme\StarMoney 8.0\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 8.0 OnlineUpdate)
SRV - [2012.06.24 18:47:14 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Server\avguard.exe -- (AntiVirService)
SRV - [2012.06.24 18:47:14 | 000,086,736 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Server\sched.exe -- (AntiVirScheduler)
SRV - [2012.03.19 20:58:12 | 000,514,128 | ---- | M] (REINER SCT) [Auto | Running] -- C:\WINDOWS\system32\cjpcsc.exe -- (cjpcsc)
SRV - [2012.01.13 10:05:04 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011.11.24 14:27:48 | 002,728,193 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\Avmcs.exe -- (Avira Security Management Center Server)
SRV - [2011.11.15 15:44:08 | 000,825,601 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\evmgr.exe -- (Avira Security Management Center Event Manager)
SRV - [2011.11.15 15:41:30 | 001,410,305 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\Avira Small Business Security Suite\Avira Security Management Center Server\ium.exe -- (Avira Security Management Center Internet Update Manager)
SRV - [2007.02.18 00:46:16 | 000,094,720 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\llssrv.exe -- (LicenseService)
SRV - [2007.02.17 06:52:42 | 000,793,088 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\ntfrs.exe -- (NtFrs)
SRV - [2007.02.17 06:50:54 | 000,071,680 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\tssdis.exe -- (Tssdis)
SRV - [2007.02.17 06:49:46 | 000,067,072 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\rsopprov.exe -- (RSoPProv)
SRV - [2007.02.17 06:39:08 | 000,040,448 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\ismserv.exe -- (IsmServ)
SRV - [2007.02.17 06:38:54 | 000,164,864 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\dfssvc.exe -- (Dfs)
SRV - [2005.12.09 09:40:04 | 002,799,808 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe -- (msvsmon80)
SRV - [2003.03.26 13:00:00 | 000,050,688 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\trksvr.dll -- (TrkSvr)
SRV - [2003.03.26 13:00:00 | 000,012,288 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\sacsvr.dll -- (sacsvr)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (LicenseInfo)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.01.13 17:58:50 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.06.24 18:47:14 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.06.24 18:47:14 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.03.24 19:13:27 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.03.24 19:13:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.03.24 19:13:27 | 000,012,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Server\avgio.sys -- (avgio)
DRV - [2011.03.29 10:08:08 | 000,028,144 | ---- | M] (REINER SCT) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cjusb.sys -- (cjusb)
DRV - [2010.04.03 10:02:54 | 000,240,608 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\RsFx0150.sys -- (RsFx0150)
DRV - [2007.06.08 18:58:00 | 000,021,504 | R--- | M] (STMicroelectronics, INC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\stm_tpm.sys -- (stmtpm)
DRV - [2007.05.31 06:38:16 | 000,014,949 | ---- | M] (franson.biz) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\bizVSerialNT.sys -- (bizVSerial)
DRV - [2007.02.19 06:56:46 | 000,021,376 | ---- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2007.02.17 06:49:52 | 000,075,264 | ---- | M] (Microsoft Corporation) [Kernel | Unavailable | Unknown] -- C:\WINDOWS\System32\drivers\sacdrv.sys -- (sacdrv)
DRV - [2007.02.17 06:48:52 | 000,175,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wlbs.sys -- (WLBS)
DRV - [2007.02.17 06:38:54 | 000,034,816 | ---- | M] (Microsoft Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dfs.sys -- (DfsDriver)
DRV - [2007.02.17 06:38:50 | 000,069,120 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\clusdisk.sys -- (ClusDisk)
DRV - [2005.03.17 15:16:26 | 000,008,704 | ---- | M] (Analog Devices, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2005.03.14 06:01:38 | 000,041,984 | ---- | M] (DeviceGuys, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\DGIVECP.SYS -- (DgiVecp)
DRV - [2004.04.23 04:57:40 | 000,295,374 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VdCap03C.sys -- (Cam5603C)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?crg=3.1010006.10031
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010006.10031
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = 
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?crg=3.1010006.10031
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010006.10031
IE - HKU\S-1-5-21-805484612-1305721060-2769990570-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7B20a82645-c095-46ed-80e3-08825760534b%7D:0.0.0
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1167637.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.10.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.3.1: C:\Programme\Oracle\JavaFX 2.0 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.19 18:45:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.12.09 18:28:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2012.04.25 17:04:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Mozilla\Extensions
[2012.10.23 10:22:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Mozilla\Firefox\Profiles\oag4gg5z.default\extensions
[2012.12.19 18:45:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.03.25 18:44:19 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2012.12.19 18:45:25 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.09.06 03:07:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.06 03:07:37 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.09.06 03:07:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.09.06 03:07:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.09.06 03:07:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.09.06 03:07:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003.03.26 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Server\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [OpwareSE2] C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [StillMnt] WCamRmv.exe /StartStillMnt File not found
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKU\S-1-5-21-805484612-1305721060-2769990570-500..\Run: [Greenshot] C:\Programme\Greenshot\Greenshot.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Guido\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Tom\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\Autostart\OpenOffice.org 3.4.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-21-805484612-1305721060-2769990570-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} hxxp://support.lenovo.com/Resources/Lenovo/AutoDetect/Lenovo_AutoDetect.cab (IASRunner Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab (Java Plug-in 1.7.0_10)
O16 - DPF: {CAFEEFAC-0017-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab (Java Plug-in 1.7.0_10)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_10-windows-i586.cab (Java Plug-in 1.7.0_10)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BB17CE2F-3175-48DD-B0A3-9FF8A2D28F32}: NameServer = 192.168.110.1
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O29 - HKLM SecurityProviders - (pwdssp.dll) - C:\WINDOWS\System32\pwdssp.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.03.20 18:05:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.13 17:58:50 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.01.13 17:30:35 | 000,000,000 | ---D | C] -- C:\Programme\SweetIM
[2013.01.13 17:30:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
[2013.01.13 17:30:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2013.01.13 17:30:04 | 000,000,000 | ---D | C] -- C:\Programme\Optimizer Pro
[2013.01.13 17:11:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2013.01.13 17:11:42 | 000,000,000 | ---D | C] -- C:\Programme\Adobe
[2013.01.11 16:10:22 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Recent
[2013.01.08 11:31:10 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.12.19 18:44:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.13 18:03:38 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.13 18:03:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.01.13 18:02:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.13 17:58:50 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013.01.13 17:13:43 | 000,001,714 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2013.01.11 01:03:05 | 000,000,254 | ---- | M] () -- C:\WINDOWS\tasks\DB_Sicherung.job
[2013.01.10 16:48:43 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.01.10 16:48:41 | 000,147,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\wgsdgsdgdsgsd__.exe
[2013.01.10 12:14:48 | 000,655,052 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.10 12:14:48 | 000,620,598 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.10 12:14:48 | 000,124,198 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.10 12:14:47 | 000,146,510 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.08 13:14:52 | 002,960,081 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Wesch Rechnungen.pdf
[2013.01.03 14:05:21 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2012.12.25 19:09:00 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Eigene Dateien\Default.rdp
[2012.12.22 23:16:18 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.21 03:06:54 | 000,126,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.12.19 19:03:14 | 000,870,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Abflussrohre.PDF
[2012.12.19 18:14:50 | 000,011,721 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Stunden.ods
[2012.12.18 20:56:25 | 000,482,171 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\TTTTT.pdf
[2012.12.17 21:03:52 | 000,009,453 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Kündigung.odt
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.13 17:13:43 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
[2013.01.13 17:13:43 | 000,001,714 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2013.01.10 16:48:41 | 000,147,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\wgsdgsdgdsgsd__.exe
[2013.01.08 13:14:50 | 002,960,081 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Wesch Rechnungen.pdf
[2012.12.25 19:09:00 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Eigene Dateien\Default.rdp
[2012.12.22 23:16:12 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.19 19:03:13 | 000,870,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Abflussrohre.PDF
[2012.12.17 20:58:55 | 000,009,453 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\Kündigung.odt
[2012.12.17 20:52:00 | 000,482,171 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Desktop\TTTTT.pdf
[2012.10.02 11:05:10 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012.10.02 11:05:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2012.08.31 13:01:42 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2012.08.31 13:01:42 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD7030.DAT
[2012.08.31 13:01:37 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2012.08.31 12:25:49 | 000,000,060 | R--- | C] () -- C:\Programme\BRINST.INI
[2012.07.28 10:58:09 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2012.06.04 13:00:01 | 000,000,516 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2012.04.12 17:35:09 | 000,188,874 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-805484612-1305721060-2769990570-500-0.dat
[2012.04.12 17:35:09 | 000,132,554 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.04.01 17:21:51 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.04.01 17:11:51 | 000,000,396 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini
[2012.04.01 17:11:42 | 000,167,936 | ---- | C] () -- C:\WINDOWS\System32\SerialXP.dll
[2012.04.01 17:11:42 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\win32com.dll
[2012.03.30 14:18:36 | 000,295,374 | ---- | C] () -- C:\WINDOWS\System32\drivers\VdCap03C.sys
[2012.03.30 14:18:36 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\VfwExtC.dll
[2012.03.30 14:18:36 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\VfwECamC.dll
[2012.03.30 14:18:36 | 000,036,864 | ---- | C] () -- C:\WINDOWS\CleanTrb.exe
[2012.03.30 14:18:36 | 000,015,190 | ---- | C] () -- C:\WINDOWS\VdTwn03C.ini
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamH3111.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamH2111.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamH0121.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamH0111.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamF3111.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamF2111.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamF0121.bin
[2012.03.30 14:18:36 | 000,003,027 | ---- | C] () -- C:\WINDOWS\System32\drivers\CamF0111.bin
[2012.03.24 19:01:46 | 000,000,275 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2012.03.24 09:59:02 | 000,000,153 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012.03.21 19:25:07 | 000,024,875 | ---- | C] () -- C:\WINDOWS\System32\dnsperf.ini
[2012.03.20 18:18:07 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4847.dll
[2012.03.20 18:07:25 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.03.20 18:03:02 | 000,021,268 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.03.20 17:55:25 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.03.20 17:54:14 | 000,126,112 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== ZeroAccess Check ==========
 
[2012.03.20 18:03:04 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.12.16 21:52:32 | 001,520,128 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:04:14 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2007.02.17 06:40:34 | 000,278,016 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.06.04 13:12:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Canon
[2012.10.02 11:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\FreePDF
[2012.07.01 17:56:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\GHISLER
[2012.10.24 09:47:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Greenshot
[2012.03.25 19:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\OpenOffice.org
[2012.03.26 10:29:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Oracle
[2012.06.04 13:00:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\ScanSoft
[2012.06.14 16:35:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\TeamViewer
[2012.04.25 17:04:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SERVER\Anwendungsdaten\Thunderbird
[2012.04.01 17:11:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\REINER SCT
[2012.06.04 13:11:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
[2012.06.04 13:00:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
[2013.01.13 17:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
[2013.01.13 17:30:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2012.04.01 10:23:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Guido\Anwendungsdaten\OpenOffice.org
[2012.04.25 17:18:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tim.SERVER\Anwendungsdaten\Thunderbird
[2012.03.26 18:34:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\OpenOffice.org
[2012.07.25 15:33:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Canon
[2012.01.13 10:45:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\GHISLER
[2012.03.26 18:31:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\OpenOffice.org
[2012.08.12 08:11:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
< End of report >

--- --- ---

Log Datei "Extras.Txt":

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 13.01.2013 17:39:33 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator.SERVER\Eigene Dateien\Downloads
Windows Server 2003 Enterprise Edition Service Pack 2 (Version = 5.2.3790) - Type = NTServer
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,96 Gb Total Physical Memory | 1,20 Gb Available Physical Memory | 61,03% Memory free
3,81 Gb Paging File | 3,05 Gb Available in Paging File | 79,94% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 0,76 Gb Free Space | 3,90% Space Free | Partition Type: NTFS
Drive D: | 54,99 Gb Total Space | 49,33 Gb Free Space | 89,71% Space Free | Partition Type: NTFS
Drive I: | 465,64 Gb Total Space | 450,66 Gb Free Space | 96,78% Space Free | Partition Type: FAT32
 
Computer Name: SERVER | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\cys.exe" = C:\WINDOWS\system32\cys.exe:LocalSubNet:Enabled:Serverkonfigurations-Assistent -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00610407-7C6C-486A-BB1D-80CEAC7E076B}" = Microsoft Visual Studio 2005 Professional Edition - DEU
"{0125D081-30D0-4A97-82A8-C28D444B6256}" = Microsoft SQL Server Compact 3.5 SP2 DEU
"{020617D7-2F72-4D02-BF59-A5CBC1761177}" = SQL Server 2008 R2 Management Studio
"{046755CA-F677-4B7F-AF9A-6AB295A02A30}" = Microsoft SQL Server 2008 R2 Native Client
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1111706F-666A-4037-7777-203328764D10}" = JavaFX 2.0.3
"{161BA3E6-D067-446D-A768-18585FF07765}" = Windows PowerShell(TM) V2 (CTP3)
"{167F6479-E5CD-411A-9E44-4296E51F64E5}" = Microsoft SQL Server VSS Writer
"{18A5DFF2-8A95-49F3-873F-743CB5549F3D}" = Canon ScanGear Starter
"{1D328E11-3B0C-388C-835D-C9C20E8C7734}" = Microsoft Help Viewer 1.0 Language Pack - DEU
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}" = OpenOffice.org 3.4.1
"{26A24AE4-039D-4CA4-87B4-2F83217010FF}" = Java 7 Update 10
"{3888A22E-1A9E-4DBE-A93B-42385141F37D}" = Microsoft SQL Server Compact 3.5 SP2 Query Tools DEU
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40B325F7-2A46-41E0-BE2F-23C19F7F101E}" = Zipper
"{44D4AF75-6870-41F5-9181-662EA05507E1}" = Microsoft Document Explorer 2005
"{47C39E4A-28F2-33B1-B9B7-97F24E52D917}" = Microsoft Help Viewer 1.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B6E1EA9-4704-4750-868A-AEB398168DA6}" = Microsoft Document Explorer 2005 Language Pack - DEU
"{4C9D82EB-9001-4E59-8F64-0BEEE5F4A30A}" = SQL Server 2008 R2 Database Engine Shared
"{4ECF4BDC-8387-329A-ABE9-CF5798F84BB2}" = Microsoft Visual Studio Tools for Applications 2.0 - ENU
"{50ABF86D-0BDB-31AD-97FD-E8A55564EBF9}" = Microsoft Report Viewer Redistributable 2008 SP1 Language Pack - DEU
"{5A08C9D1-37AD-4A8D-90D3-33F92C578AA5}" = Microsoft SQL Server System CLR Types
"{5B12C1F2-A0BC-40E8-97F8-A4854C5F494E}" = StarMoney
"{5BD39911-A12F-4562-98BA-A6E03E3370B1}" = SQL Server 2008 R2 Database Engine Services
"{61266339-D881-46BB-BBDE-84DCFD196F1F}" = Avira Small Business Security Suite
"{625386A4-B6B6-4911-A6E8-23189C3F2D15}" = Microsoft .NET Compact Framework 2.0
"{6C531060-84FB-4F96-8F33-29DF020632EB}" = Microsoft .NET Compact Framework 1.0 SP3 Developer
"{76866BE3-B2C7-40BB-B267-927792AED0C3}" = Microsoft SQL Server 2008 R2 Setup (English)
"{78033A38-50E2-4A65-823F-C1B34DF9FE41}" = Microsoft SQL Server 2008 R2-Richtlinien
"{7895E7FF-C210-4C01-88EB-8B902140B22D}" = StarMoney
"{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}" = OmniPage SE 2.0
"{7C8EAD2B-A954-4F73-AAFC-C3EC60D49ADA}" = Microsoft SQL Server 2008 R2 RsFx Driver
"{82C24932-07D7-4D8F-A291-4E65C0BB8504}" = Avira Management Console Server
"{8343C2D8-09DF-38B3-9D1A-A26148918E45}" = Microsoft Visual Studio Tools for Applications 2.0 Language Pack - DEU
"{88F93A2E-A2F3-4C36-B3D3-EEB274AA2C1C}" = Microsoft Device Emulator Version 1.0 - DEU
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DD113A8-811A-404E-A4D7-443D014946AC}" = Microsoft SQL Server Browser
"{92906ADC-9482-4DDB-870D-0F1F535EAD91}" = SQL Server 2008 R2 Common Files
"{93998800-1608-403F-9A51-420A77D23C25}" = Sql Server Customer Experience Improvement Program
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{996FFA68-7EE8-4C8F-B471-3BDBC9077C1D}" = StarMoney 8.0 
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9AA2D735-3375-42D4-9A61-3FFEF82599D6}" = Unterstützungsdateien für Microsoft SQL Server 2008-Setup 
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A106D33E-6B43-42C0-9BFC-D03303261FA7}" = Microsoft SQL Server 2008 R2 Management Objects
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.01) - Deutsch
"{B5153233-9AEE-4CD4-9D2C-4FAAC870DBE2}" = SQL Server 2008 R2 Database Engine Services
"{B7E38540-E355-3503-AFD7-635B2F2F76E1}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CA9BCD4D-B782-4637-8F1F-F9A328D3C244}" = Canon CanoScan Toolbox 4.9
"{CACEA8C8-3D38-4F51-953D-1E6FC3346FEF}" = SQL Server 2008 R2 Common Files
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFCB8616-A5D1-4281-80E8-389F685BFAE2}" = Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 DEU
"{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}" = Microsoft .NET Framework 4 Multi-Targeting Pack
"{E10B39DF-C167-4B79-B9C2-AA1570ACBB1D}" = SQL Server 2008 R2 Management Studio
"{E59A9441-8EDD-473D-BDC6-4CAFD51D0955}" = Avira Management Console Frontend
"{E9380A3D-7A10-4988-B2A1-22A41C137D9F}" = SQL Server 2008 R2 Database Engine Shared
"{EA8FA6BE-29BE-4AF2-9352-841F83215EB0}" = Update Manager for SweetPacks 1.1
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"AntiVir Server" = Avira Server Security
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 9.04" = GPL Ghostscript
"Greenshot_is1" = Greenshot
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Microsoft Document Explorer 2005" = Microsoft Document Explorer 2005
"Microsoft Document Explorer 2005 Language Pack - DEU" = Microsoft Document Explorer 2005 Language Pack - DEU
"Microsoft Help Viewer 1.0" = Microsoft Help Viewer 1.0
"Microsoft Help Viewer 1.0 Language Pack - DEU" = Microsoft Help Viewer 1.0 Language Pack - DEU
"Microsoft Report Viewer Redistributable 2008 (KB971119)" = Microsoft Report Viewer Redistributable 2008 SP1
"Microsoft Report Viewer Redistributable 2008 SP1 Language Pack - DEU" = Microsoft Report Viewer Redistributable 2008 SP1 Language Pack - DEU
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 R2
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2
"Microsoft Visual Studio 2005 Professional Edition - DEU" = Microsoft Visual Studio 2005 Professional Edition - DEU
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Q-TEC WEBCAM 300 USB" = Q-TEC WEBCAM 300 USB
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Sweetpacks Bundle Uninstaller" = Sweetpacks Bundle Uninstaller
"TheraPlus" = opta data DocDecrypter
"Totalcmd" = Total Commander (Remove or Repair)
"WIC" = Windows Imaging Component
"Windows Server 2003 Service Pack" = Windows Server 2003 Service Pack 2
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 13.01.2013 12:33:41 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:33:42 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:33:42 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:33:42 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:33:42 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:33:43 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:11 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:11 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:11 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:11 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:12 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:12 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:12 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
Error - 13.01.2013 12:34:13 | Computer Name = SERVER | Source = MsiInstaller | ID = 11500
Description = Product: Zipper -- Error 1500. Another installation is in progress.
 You must complete that installation before continuing this one.
 
[ DNS Server Events ]
Error - 22.03.2012 08:02:19 | Computer Name = SERVER | Source = DNS | ID = 6702
Description = DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen,
dass
 die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server  replizieren 
können, wurde versucht, diese mit dem neuen Eintrag mittels  dynamischer Aktualisierung
 zu aktualisieren. Dabei ist ein Fehler aufgetreten.  Die Daten enthalten den Fehlercode.



Wenn
 dieser DNS-Server keine verzeichnisdienstintegrierten Peers    besitzt, sollte dieser
 Fehler ignoriert werden.        Wenn die Replikationspartner des Active Directorys für 
diesen DNS-Server  nicht die richtige IP-Adresse(n) für diesen Server haben, können
 sie nicht  mit ihm replizieren.        Führen Sie folgende Schritte aus, um sicherzustellen,
 dass die  Replikation ordnungsgemäß durchgeführt wird:    1) Suchen Sie die Replikationspartner
 des Active Directory für diesen  Server, die den DNS-Server ausführen.    2) Öffnen Sie
 den DNS-Manager und verbinden Sie sich der Reihe nach mit  jedem der Replikationspartner.

3)
 Überprüfen Sie auf jedem der Server die Hostregistrierung  (A-Eintrag) für DIESEN
 Server.    4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server  entsprechen.

5)
 Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie  mindestens einen
 A-Eintrag entsprechend einer Adresse auf diesem Server  hinzufügen, die der Replikationspartner
 ansprechen kann. (Mit anderen  Worten: Falls es mehrere IP-Adressen für diesen Server
 gibt, müssen Sie  mindestens eine hinzufügen, die sich im selben Netzwerk wie der
 DNS-Server  des Active Directory befindet, den Sie aktualisieren möchten.)    6) Es ist
 nicht notwendig, ALLE Replikationspartner zu aktualisieren.  Es ist lediglich erforderlich,
 dass alle Einträge mit genügend  Replikationspartnern verbunden sind, so dass jeder
 Server, der mit  diesem Server repliziert, die neuen Daten (mittels Replikation) 
erhält.
 
Error - 22.03.2012 08:22:01 | Computer Name = SERVER | Source = DNS | ID = 6702
Description = DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen,
dass
 die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server  replizieren 
können, wurde versucht, diese mit dem neuen Eintrag mittels  dynamischer Aktualisierung
 zu aktualisieren. Dabei ist ein Fehler aufgetreten.  Die Daten enthalten den Fehlercode.



Wenn
 dieser DNS-Server keine verzeichnisdienstintegrierten Peers    besitzt, sollte dieser
 Fehler ignoriert werden.        Wenn die Replikationspartner des Active Directorys für 
diesen DNS-Server  nicht die richtige IP-Adresse(n) für diesen Server haben, können
 sie nicht  mit ihm replizieren.        Führen Sie folgende Schritte aus, um sicherzustellen,
 dass die  Replikation ordnungsgemäß durchgeführt wird:    1) Suchen Sie die Replikationspartner
 des Active Directory für diesen  Server, die den DNS-Server ausführen.    2) Öffnen Sie
 den DNS-Manager und verbinden Sie sich der Reihe nach mit  jedem der Replikationspartner.

3)
 Überprüfen Sie auf jedem der Server die Hostregistrierung  (A-Eintrag) für DIESEN
 Server.    4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server  entsprechen.

5)
 Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie  mindestens einen
 A-Eintrag entsprechend einer Adresse auf diesem Server  hinzufügen, die der Replikationspartner
 ansprechen kann. (Mit anderen  Worten: Falls es mehrere IP-Adressen für diesen Server
 gibt, müssen Sie  mindestens eine hinzufügen, die sich im selben Netzwerk wie der
 DNS-Server  des Active Directory befindet, den Sie aktualisieren möchten.)    6) Es ist
 nicht notwendig, ALLE Replikationspartner zu aktualisieren.  Es ist lediglich erforderlich,
 dass alle Einträge mit genügend  Replikationspartnern verbunden sind, so dass jeder
 Server, der mit  diesem Server repliziert, die neuen Daten (mittels Replikation) 
erhält.
 
Error - 22.03.2012 09:23:41 | Computer Name = SERVER | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "000020DE: SvcErr: DSID-030F00E4,
 problem 5001 (BUSY), data 0".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 09:24:14 | Computer Name = SERVER | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "000020DE: SvcErr: DSID-030F00E4,
 problem 5001 (BUSY), data 0".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 09:25:57 | Computer Name = SERVER | Source = DNS | ID = 4015
Description = DNS-Server hat einen kritischen Fehler im Active Directory ermittelt.
Stellen
 Sie sicher, dass das Active Directory ordnungsgemäß funktioniert.  Die erweitere 
Fehlerdebuginformation (die eventuell leer ist), ist "".  Die Ereignisdaten enthalten
 den Fehlercode.
 
Error - 22.03.2012 09:25:57 | Computer Name = SERVER | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "."  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er
 Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese
 Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig funktioniert
 und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 09:25:57 | Computer Name = SERVER | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "_msdcs.Feet-Care"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
 dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese 
ohne diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 09:25:57 | Computer Name = SERVER | Source = DNS | ID = 4004
Description = Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone
 "Feet-Care"  nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert,
 dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese 
ohne diese Informationen nicht laden.  Überprüfen Sie, dass das Active Directory richtig
 funktioniert und wiederholen Sie die Aufzählung der Zone.  Die erweiterte Fehlerdebuginformation
 (die eventuell leer ist) ist "".  Die Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 10:15:46 | Computer Name = SERVER | Source = DNS | ID = 4007
Description = Der DNS-Server konnte die offene Zone "Feet-Care" im Active Directory
 der Anwendungsverzeichnispartition "DomainDnsZones.Feet-Care" nicht öffnen. Dieser
 DNS-Server ist so konfiguriert, dass er Informationen aus dem  Verzeichnis dieser
 Zone bezieht und verwendet, und kann die Zone  ohne diese Informationen nicht laden.
Überprüfen
 Sie, dass Active Directory ordnungsgemäß  funktioniert und laden Sie die Zone neu.
Die
 Ereignisdaten enthalten den Fehlercode.
 
Error - 22.03.2012 10:15:46 | Computer Name = SERVER | Source = DNS | ID = 4007
Description = Der DNS-Server konnte die offene Zone "_msdcs.Feet-Care" im Active
 Directory der Anwendungsverzeichnispartition "ForestDnsZones.Feet-Care" nicht öffnen.
 Dieser DNS-Server ist so konfiguriert, dass er Informationen aus dem  Verzeichnis
 dieser Zone bezieht und verwendet, und kann die Zone  ohne diese Informationen nicht
 laden.  Überprüfen Sie, dass Active Directory ordnungsgemäß  funktioniert und laden
 Sie die Zone neu.  Die Ereignisdaten enthalten den Fehlercode.
 
[ System Events ]
Error - 13.01.2012 08:32:51 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 08:32:55 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 08:32:59 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 08:33:02 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 08:33:06 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 08:33:10 | Computer Name = SERVER | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1.
 
Error - 13.01.2012 09:28:39 | Computer Name = SERVER | Source = W32Time | ID = 39452706
Description = Der Zeitdienst hat festgestellt, dass die Systemzeit um +31622397 
Sekunden  geändert werden muss. Die Systemzeit kann durch den Zeitdienst um  maximal
 +54000 Sekunden geändert werden. Stellen Sie sicher, dass die Uhrzeit  und Zeitzone
 korrekt sind und dass die Zeitquelle time.windows.com (ntp.m|0x1|192.168.110.2:123->65.55.21.13:123)
 funktionsfähig ist.
 
Error - 13.01.2012 09:29:41 | Computer Name = SERVER | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 13.01.2013 12:01:18 | Computer Name = SERVER | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 13.01.2013 12:28:17 | Computer Name = SERVER | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

< End of report >

--- --- ---

ICh hoffe ich bin soweit korrekt vorgegangen und Ihr könnte auch mir weiter helfen.

Ein Danke schon mal im vorraus.

Gruß
Reverent

t'john · 13.01.2013, 18:50

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

ATTFilter

:OTL
SRV - File not found [Auto | Stopped] -- C:\DOKUME~1\ADMINI~1.SER\wgsdgsdgdsgsd.exe -- (winmgmt) 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 
O7 - HKU\S-1-5-21-805484612-1305721060-2769990570-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149 

[2013.01.10 16:48:41 | 000,147,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.SERVER\wgsdgsdgdsgsd__.exe 

:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Administrator\*.tmp
C:\Users\Administrator\AppData\Local\Temp\*.exe
C:\Users\Administrator\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

markusg · 13.01.2013, 18:51

hi
I:\Praxis\Computer\KV Projekt\Kundenverwaltung\obj\Debug\Kundenverwaltung.exe (Trojan.MSIL) -> Keine Aktion durchgeführt.
I:\Praxis\Computer\KV Projekt\Kundenverwaltung\bin\Debug\Kundenverwaltung.exe (Trojan.MSIL) -> Keine Aktion durchgeführt.

die kannst wohl aus der Malwarebytes quarantäne wiederherstellen.
gehe ich recht in der Anname, das der Rechner gewerblich genutzt wird?

t'john · 03.03.2013, 11:49

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

Es fing mit dem GUV Trojaner an

Plagegeister aller Art und deren Bekämpfung: Es fing mit dem GUV Trojaner an